| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Problem mit "popunder adsrevenue" und ähnlichemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.03.2008, 22:57
| #16 |
| /// AVZ-Toolkit Guru   |  Problem mit "popunder adsrevenue" und ähnlichem Wo ist eigentlich das Smitfaudfix log? Ist das untergegangen oder hast du den Scan noch nicht durchgeführt? SmitFraudFix
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
02.03.2008, 08:00
| #17 |
 | Problem mit "popunder adsrevenue" und ähnlichem Gab es da ein Log? Das war doch sehr Dos-like...
__________________ |
|
02.03.2008, 08:13
| #18 | ||
| | Problem mit "popunder adsrevenue" und ähnlichem Moin
__________________Zitat:
Zitat:
|
|
02.03.2008, 08:33
| #19 |
| | Problem mit "popunder adsrevenue" und ähnlichem Danke! Dann kommt er hier. Mache aber gerade den eScan und der hat schon 13 Infektionen gefunden... Dabei dachte ich mit Vista wäre das weniger gefährlich... Aber schonmal jetzt ein "DANKE!!" für die Hilfe soweit. .o) SmitFraudFix v2.296 OS: Microsoft Windows [Version 6.0.6000] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene" [HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32] @="%SystemRoot%\System32\DreamScene.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32] @="%SystemRoot%\System32\DreamScene.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost ::1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{2F97D68C-104D-4AC6-8F1F-C7AE489FE1EA}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{2F97D68C-104D-4AC6-8F1F-C7AE489FE1EA}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\..\{2F97D68C-104D-4AC6-8F1F-C7AE489FE1EA}: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{E31004D1-A431-41B8-826F-E902F9D95C81}"="Windows DreamScene" [HKEY_CLASSES_ROOT\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32] @="%SystemRoot%\System32\DreamScene.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{E31004D1-A431-41B8-826F-E902F9D95C81}\InProcServer32] @="%SystemRoot%\System32\DreamScene.dll" »»»»»»»»»»»»»»»»»»»»»»»» End |
|
02.03.2008, 11:06
| #20 |
| /// AVZ-Toolkit Guru | Problem mit "popunder adsrevenue" und ähnlichem Die find.bat funktioniert im Moment entweder garnicht oder nur schlecht. Versuche das log mit ihr auszuwerten. Poste das Ergebnis. Hänge aber bitte zusätzlich das komplette Log an deinen Post an.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
02.03.2008, 11:18
| #21 |
| | Problem mit "popunder adsrevenue" und ähnlichem Das find.bat Problem stelle ich auch leider gerade fest... Dann soll ich die komplette?!? Log-Datei von dem eScan posten?? Da ist verdammt viel... |
|
02.03.2008, 11:29
| #22 |
| | Problem mit "popunder adsrevenue" und ähnlichem Bei Word sind es knapp 3000 Seiten wenn ich es da einfüge... |
|
02.03.2008, 18:17
| #23 |
| | Problem mit "popunder adsrevenue" und ähnlichem Ist das das gewünschte Resultat? Da stehen aber keine Fehler drin, oder seh ich die nur nicht?!? ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows [Version 6.0.6000] Bootmodus: NORMAL eScan Version: 9.7.6 Sprache: German C:\Users\**\AppData\Local\Temp\MWAV.LOG ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Batchstart: 16:52:58,00 Batchende: 18:12:44,53 |
|
02.03.2008, 18:21
| #24 |
| /// TB-Ausbilder   | Problem mit "popunder adsrevenue" und ähnlichem Nein, das ist definitiv nicht das erwünschte System.  Wo liegt die Datei mwav.log bei dir? Wohin hast du eScan installiert? Lade die Datei Mwav.log bitte mal bei File-Upload.net hoch. Dann guck ich mir das mal an. Die find.bat ist derzeit zwar langsam, sollte aber funktionieren. lg myrtille |
|
02.03.2008, 18:54
| #26 |
| /// AVZ-Toolkit Guru | Problem mit "popunder adsrevenue" und ähnlichem Kannst du zum Bleistift auf C:\MWAV positionieren.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
|
02.03.2008, 18:59
| #27 |
| | Problem mit "popunder adsrevenue" und ähnlichem OK! Habe nun die Mwav.log und find.but da reinkopiert und lasse das mal wieder arbeiten... |
|
02.03.2008, 20:47
| #28 |
| | Problem mit "popunder adsrevenue" und ähnlichem Der installiert den eScan immer im temporären Ordner... Gibt es da einen Kniff um das zu verhindern? |
|
02.03.2008, 20:50
| #29 |
| | Problem mit "popunder adsrevenue" und ähnlichem Habe gerade wieder den Scan gemacht. Die Fehler sind alle beim Scan der Registrierungsdatenbank gefunden worden... Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "softomate toolbar Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "loader Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "universaltb Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "trojan-downloader.bat.ftp.ab Trojan-Downloader" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "ezula Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Automap.Map.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Automap.Template.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Search.CustomWordbreaker" verweist auf das ungültige Objekt "{9E175BB4-F52A-11D8-B9A5-505054503030}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCR\Search.CustomWordbreaker.1" verweist auf das ungültige Objekt "{9E175BB4-F52A-11D8-B9A5-505054503030}". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".0". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avc". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avx". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".meta". Maßnahme ergriffen: Keine Maßnahme ergriffen. Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ppl". Maßnahme ergriffen: Keine Maßnahme ergriffen. |
|
02.03.2008, 20:58
| #30 |
| | Problem mit "popunder adsrevenue" und ähnlichem Ich glaube das ist "interessant"... 02 Mrz 2008 20:48:52 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 02 Mrz 2008 20:48:52 - Loading Spyware Signatures from new External Database [Name: C:\Users\Dominik\AppData\Local\Temp\spydb.avs, Size: 354592]. 02 Mrz 2008 20:48:52 - Indexed Spyware Databases Successfully Created... 02 Mrz 2008 20:48:55 - Offending Key found: HKCU\Software\kazaa !!! 02 Mrz 2008 20:49:00 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:03 - Offending file found: C:\Windows\system32\swreg.exe 02 Mrz 2008 20:49:03 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:03 - Offending file found: C:\Windows\system32\swsc.exe 02 Mrz 2008 20:49:03 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:03 - Offending Folder found: C:\Users\**\AppData\Local\aol\ietoolbar 02 Mrz 2008 20:49:03 - Objekt "softomate toolbar Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:04 - Offending Folder found: C:\Users\**\AppData\Local\microsoft\windows sidebar\gadgets\weatherbug[1].gadget.~0000\images\loader 02 Mrz 2008 20:49:04 - Objekt "loader Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:04 - Offending Folder found: C:\Users\**\AppData\Local\microsoft\windows sidebar\gadgets\weatherbug[1].gadget.~0000\library\js\wbclasses\universal 02 Mrz 2008 20:49:04 - Objekt "universaltb Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:04 - Offending Folder found: C:\Users\**\AppData\Roaming\acccore\caches\bart\1024 02 Mrz 2008 20:49:04 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:04 - Offending Folder found: C:\Users\**\AppData\Roaming\icq\bart\1024 02 Mrz 2008 20:49:04 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:05 - Offending file found: C:\Users\**\Desktop\anti werbesoftware\smitfraudfix\process.exe 02 Mrz 2008 20:49:05 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:05 - Offending file found: C:\Users\**\Desktop\anti werbesoftware\smitfraudfix\swreg.exe 02 Mrz 2008 20:49:05 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:05 - Offending file found: C:\Users\**\Desktop\anti werbesoftware\smitfraudfix\swsc.exe 02 Mrz 2008 20:49:05 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:05 - Offending file found: C:\Users\**\Favorites\hp\ebay.url 02 Mrz 2008 20:49:05 - System found infected with ezula Spyware/Adware (ebay.url)! Action taken: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:06 - Offending Folder found: C:\ProgramData\aol\c_aol 9.0 vr\bart\1024 02 Mrz 2008 20:49:06 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:13 - Checking MountPoints2 Registry Key... 02 Mrz 2008 20:49:13 - Checking CLSID Reference Entries... 02 Mrz 2008 20:49:13 - Eintrag "HKCR\Automap.Map.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:13 - Eintrag "HKCR\Automap.Template.EU.11" verweist auf das ungültige Objekt "{A49EEA01-9231-4C77-AA9E-2F89D72B4804}". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:14 - Eintrag "HKCR\Search.CustomWordbreaker" verweist auf das ungültige Objekt "{9E175BB4-F52A-11D8-B9A5-505054503030}". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:14 - Eintrag "HKCR\Search.CustomWordbreaker.1" verweist auf das ungültige Objekt "{9E175BB4-F52A-11D8-B9A5-505054503030}". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:14 - Checking Module Usage Entries... 02 Mrz 2008 20:49:14 - Checking User Trusted External App Entries... 02 Mrz 2008 20:49:14 - Eintrag "HKCU\Software\Netscape\Netscape Navigator\User Trusted External Applications" verweist auf das ungültige Objekt "". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:14 - Checking Shared DLL Entries... 02 Mrz 2008 20:49:21 - Checking Installer Entries... 02 Mrz 2008 20:49:24 - Checking Shared Tools Entries... 02 Mrz 2008 20:49:24 - Checking File Extension Entries... 02 Mrz 2008 20:49:24 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".0". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:24 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avc". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:24 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".avx". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:24 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".meta". Maßnahme ergriffen: Keine Maßnahme ergriffen. 02 Mrz 2008 20:49:24 - Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".ppl". Maßnahme ergriffen: Keine Maßnahme ergriffen. |
|
| Themen zu Problem mit "popunder adsrevenue" und ähnlichem |
| ad-aware, adobe, antispyware, auswerten, avg, avgnt, avgnt.exe, avira, bho, defender, explorer, fast start, hijack, hijackthis, ie fenster, internet, internet explorer, magix, menu.exe, monitor, problem, programdata, quara, rundll, scan, security, security suite, senden, software, studio, super, superantispyware, system, vista, windows, windows defender, windows sidebar, öffnet |
Linear-Darstellung
